Peretas Menyalahgunakan Alat Linux Asli untuk Meluncurkan Serangan Pada Sistem Linux

Di berbagai organisasi di seluruh dunia, adopsi kontainer telah menunjukkan tanda-tanda menjadi arus utama selama beberapa tahun terakhir.

Sejak proyek orkestrasi container seperti Kubernetes dan alat lain yang tersedia di cloud telah dikembangkan dalam beberapa tahun terakhir, gelombang transformasi telah terjadi dalam cara organisasi beroperasi.

Penerapan arsitektur berbasis layanan mikro daripada arsitektur monolitik adalah fitur yang semakin populer dalam pengembangan sistem terdistribusi.

Namun, sebagai konsekuensi dari perubahan ini, ada juga peningkatan permukaan serangan, yang merupakan masalah. Khususnya melalui kesalahan konfigurasi keamanan dan kerentanan yang diperkenalkan selama penerapan yang mengarah pada ancaman dan kompromi keamanan.

Karena itu, peretas meluncurkan serangan di lingkungan Linux dengan mengeksploitasi alat Linux asli.

Biasanya ada rantai eksploitasi standar yang diikuti oleh penyerang ketika menyerang sistem berbasis Linux. Langkah pertama dalam mendapatkan akses ke lingkungan adalah bagi penyerang untuk mengeksploitasi kerentanan.

Menurut laporan Trend Micro, untuk mendapatkan akses ke area lebih lanjut dari sistem yang disusupi, penyerang dapat mengikuti jalur yang berbeda:

Lingkungan organisasi saat ini dijelaskan dengan menyebutkan konteksnya.
Eksfiltrasi data dari lingkungan yang berisi informasi sensitif.
Menonaktifkan aplikasi dan menyebabkan serangan penolakan layanan.
Mengunduh penambang dan menambang cryptocurrency.
Bereksperimen dengan teknik lain, seperti : Eskalasi Hak Istimewa, Gerakan lateral, Kegigihan, Akses Kredensial

Pelaku ancaman menggunakan berbagai alat yang disertakan dengan distribusi Linux untuk mencapai tujuan ini. Alat tersebut adalah : curl, wget, chmod, chattr,ssh, base64, chroot, crontab, ps, pkill.

Decoding string yang dikodekan dalam format base64 dilakukan dengan alat base64, yang merupakan utilitas Linux. Untuk menghindari deteksi, penyerang sering menggunakan pengkodean base64 untuk mengaburkan muatan dan perintah mereka.

Perintah bash shell pengguna dicatat dalam file riwayat .bash mereka, yang terletak di direktori home mereka. Seorang penyerang memilih untuk menggunakan meja kerja Visual One, chroot, dan utilitas base64 untuk mengeksekusi kode berbahaya.

Tidak ada keraguan bahwa penyerang menggunakan alat dan utilitas yang melekat pada OS, sehingga pembela harus memikirkan kontrol apa yang ingin mereka miliki selama fase serangan yang berbeda sehingga mereka dapat tetap berada di depan penyerang.

Untuk mengurangi ancaman tersebut anda dapat melakukan :

Pastikan untuk menggunakan gambar distroless.

Cloud One Workload Security – Kontrol Aplikasi.

Pastikan perangkat lunak yang tidak dikenal diblokir hingga izin eksplisit diberikan.

Hingga diblokir secara eksplisit, izinkan perangkat lunak yang tidak dikenal berjalan di sistem Anda.

Sumber: GBHacker

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Cookies Settings